官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 臭名昭著的Nefilim勒索团伙样本分析
1234567下一页
返回列表 发新帖
查看: 10964|回复: 67
上一主题 下一主题
收起左侧

[PC样本分析] 臭名昭著的Nefilim勒索团伙样本分析

  [复制链接]
Hcho
跳转到指定楼层
楼主
Hcho 发表于 2021-11-5 16:47 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
样本信息


木马概述
    此样本为 Nefilim 团伙勒索病毒,加密后缀为.MERIN,执行后会遍历操作系统中特定后缀文件进行加密,采用的加密算法为RSA。

木马执行细节
Base64解密恶意字符串
    样本中的恶意字符串都存在Base64加密,以此绕过静态分析。
   

初始化CNG
    从这里可以看出样本对文件的加密方式为非对称加密:
   

导入密钥对
   

确定磁盘类型
    从A盘开始循环遍历:
   
   

创建线程遍历目录创建勒索文本并对文件进行加密
    如果找到有效磁盘则创建线程:
   

    遍历目录创建勒索文本
        
        

    判断文件后缀
        加密时略过以下后缀:
        

    加密文件
        ① 首先生成2个随机数:
        
        ② 对生成的2个随机数进行RSA加密,并储存在申请的内存当中,大小均为0x100个字节:
        
        ③ 文件末尾写入第一个随机数加密后的0x100字节:
        
        
        ④ 文件末尾追加第二个随机数加密后的0x100字节:
        
        
        ⑤ 文件末尾加5字节 ”MERIN”:
        
        
        ⑥ 加密文件内容:
        首先读取文件内容:
        
        调用其加密函数对文件内容进行加密:
        
        
        然后将加密后的内容写入文件:
        
        ⑦ 最后在文件后缀上加上 .MERIN:
        
        

加密后的文件结构
   

执行流程总结

免费评分

参与人数 47吾爱币 +40 热心值 +40 收起 理由
zzssd + 1 我很赞同!
xxbb12138 + 1 + 1 我很赞同!
espper + 1 + 1 我很赞同!
JuDC8 + 1 + 1 用心讨论,共获提升!
bbsokok + 1 + 1 谢谢@Thanks!
yatere + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qfniubi + 1 + 1 谢谢@Thanks!
szkent + 1 + 1 谢谢@Thanks!
TianXiaYu + 1 + 1 谢谢@Thanks!
yahushau + 1 我很赞同!
momoxi + 1 我很赞同!
jasonliu233 + 1 谢谢@Thanks!
RandomX2020 + 1 + 1 谢谢@Thanks!
kuaile365 + 1 + 1 谢谢@Thanks!
shanxiren + 1 + 1 感谢发布
feiyang1 + 1 + 1 谢谢@Thanks!
beautiful1112 + 1 我很赞同!
makishiro + 1 热心回复!
lingyudada + 1 <font style="vertical-align: inherit;"><font style=
attributes + 1 谢谢@Thanks!
yitu13 + 1 + 1 用心讨论,共获提升!
杨辣子 + 1 + 1 用心讨论,共获提升!
iandros + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wen19871015 + 1 + 1 热心回复!
chen1860906 + 1 + 1 用心讨论,共获提升!
℡小疯、 + 1 + 1 热心回复!
扼守秋天 + 1 鼓励转贴优秀软件安全工具和文档!
JinxBoy + 1 谢谢@Thanks!
timeni + 1 热心回复!
xiaohanjss + 1 + 1 用心讨论,共获提升!
chenmintian + 1 + 1 我很赞同!
yaozhongcan + 2 + 1 用心讨论,共获提升!
cloudy520 + 1 + 1 用心讨论,共获提升!
woyucheng + 1 + 1 热心回复!
sgyz520 + 1 + 1 我很赞同!
ldy2333 + 1 + 1 用心讨论,共获提升!
cc66528 + 1 + 1 我很赞同!
hetaolu + 1 谢谢@Thanks!
sunning-H-C + 1 谢谢@Thanks!
OYyunshen + 1 + 1 我很赞同!
浩浩君 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
safe-夏天 + 1 + 1 厉害了,给分鼓励一下
coder9527 + 1 + 1 热心回复!
Yc0 + 1 + 1 用心讨论,共获提升!
huayi + 1 我很赞同!
梦入神机 + 2 + 1 用心讨论,共获提升!
smile1110 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

smile1110
推荐
smile1110 发表于 2021-11-5 17:43
@Hcho  写的不错,继续加油
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 2

举报

cericking
推荐
cericking 发表于 2021-11-7 22:01
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
恶意字符串都存在Base64加密,以此绕过静态分析。
这个方式非常nice。由此可见,静态分析 应该加入 机械Base64的功能啊
如何升级?如何获得积分?积分对应解释说明!
回复 支持 1

举报

sharkvv
3#
sharkvv 发表于 2021-11-5 18:26
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
你从哪里弄的钥匙 哥们 厉害啊
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

eoo
4#
eoo 发表于 2021-11-5 18:35
向大佬学习
如何快速判断一个文件是否为病毒!
回复 支持

举报

ynboyinkm
5#
ynboyinkm 发表于 2021-11-5 19:08
高手,收藏慢慢研究!
回复 支持

举报

xiaolong23330
6#
xiaolong23330 发表于 2021-11-5 19:39
条理清晰,赞
回复 支持

举报

OYyunshen
7#
OYyunshen 发表于 2021-11-5 19:50
这个流程图,厉害啊,帮助了我!!感谢!!
回复 支持

举报

ThanatosXY
8#
ThanatosXY 发表于 2021-11-5 20:23
别的不说,最后的流程图赞了
回复 支持

举报

cc66528
9#
cc66528 发表于 2021-11-5 21:57
执行流程总结这个图写得很清晰,一眼就看懂了
回复 支持

举报

iiinnn
10#
iiinnn 发表于 2021-11-5 22:19
厉害啊,分析的很透彻,但是也只敢看看,不敢下载实践
回复 支持

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-2 03:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表